क्याथे प्यासेफिकको यात्रु सम्बन्धि ‘डाटा लीक’
शहरको प्रमुख वायुसेवा कम्पनी क्याथे प्यासेफिकले सात महिना अघि भएको विशाल ‘डाटा लीक’ बारे यात्रुलाई सूचित नगराएपछि अफिस अफ द प्राईभेसी कमिशनर फर पर्सनल डाटाका प्रमुख स्टिफन वोङ काई-यीले कम्पनी विरुद्ध बिहीबार आक्रोश पोखेका छन् ।
यस्ता घटनाहरु सर्वसाधारणलाई यथाशिघ्र जानकारी गराउन नियममा कडाई गर्नेबारे विचार गरिरहेको पनि प्राईभेसी कमिशनर वोङले बताए । बिहीबार बिहान प्रसारण भएको एउटा रेडियो कार्यक्रममा बुधबार राती एउटा वक्तव्य जारी गरेको घण्टौंपछि पनि क्याथे प्यासेफिकले गम्भिर ढिलाई भएकोबारे बताउन नसकेपछि वोङको यस्तो प्रतिक्रिया आएको हो ।
“यो संवेदनशील मुद्दा हो । त्यसैले हाम्रा ग्राहकहरु प्रभावित भए-नभएको र भएको भए कसरी भन्ने बुझाउनलाई हामीले राम्रो तयारी गर्ने आशा गरेका थियौं,” चिफ कस्टमर एन्ड कमर्सियल अफिसर पल लूले भने । ग्राहकहरुमा अनावश्यक खलबली नमच्चियोस् भनेर ढिलाई गरिएको पनि उनले बताए ।
राती अबेर गरि निकालिएको वक्तव्य अनुसार, क्याथे प्यासेफिक र यसको सहायक कम्पनी क्याथे ड्रागनका ९४ लाख यात्रुको व्यक्तिगत डाटामा अनाधिकृत पहुँच पुगेको एयरलाईनले पत्ता लगाएको छ । यात्रुको नाम, राष्ट्रियता, जन्म मिति, परिचयपत्र संख्या र यात्रु विवरण लगायतका सूचना चुहावट भएको बताईएको छ ।
अनुमानित ८ लाख ६० हजार राहदानी संख्या र २ लाख ४५ हजार हङकङ आईडी कार्ड संख्या सहित म्याद सकिएका कुल ४ सय ३ वटा क्रेडिट कार्ड संख्या र प्रमाणीकरण संख्या (सीभीभी) नभएका २७ वटा क्रेडिट संख्या अनाधिकृत रुपले चुहावट भएको छ ।
नियमित सर्भर परिक्षणको क्रममा विभिन्न प्रणालीबीच असामान्य डाटा माईग्रेसन भएको पत्ता लागेपछि यो शंकास्पद गतिविधीबारे मार्चमै थाहा लागेको थियो । त्यसपछि, कम्पनीले एउटा साईबरसुरक्षा अनुसन्धान गरेको थियो र मेको शुरुमा सूचनामाथि अनाधिकृत पहुँच पुगेको निश्चय गरिएको थियो ।
सूचनामा अतिक्रमण भएको खुलाउन ६ महिनाभन्दा धेरै समय किन लाग्यो भनेर एयरलाईनलाई प्रश्न गर्दा, वास्तवमा के भएको हो भनी पत्ता लगाउन कम्पनीले धेरै समय लगाएकोले ढिलाई भएको लूले बताएका छन् ।
“प्रभावित यात्रुहरुलाई सूचित गराउने कार्यको तयारी हालै मात्र गरिएको छ,” कम्पनीले प्रहरी र प्राईभेसी कमिशनरलाई बुधबार मात्रै जानकारी गराएको स्वीकार गर्दै लूले भने ।
प्रभावित ग्राहकहरुलाई अबको एक वा दुई दिनभित्र कम्पनीले ईमेल गर्ने लूले बताएका छन् । सूचनाको चुहावटबारे एयरलाईनले एउटा वेबपेज र सोधपुछका लागि एउटा हटलाईन स्थापना गरेको छ । चुहावट पत्ता लाग्दा सुरक्षाको जोखिम समाधान गरिएको र, हालसम्म केही अस्वाभाविक गतिविधी नदेखिएको उनले बताएका छन् । सूचना चुहिएको तर त्यसको गलत प्रयोग गरिएको प्रमाण नभेटिएकोमा उनले जोड दिएका छन् ।
आफ्नो व्यक्तिगत सूचना सार्वजनिक वेबसाईट, अनलाईन च्याट रुम र विशेष सफ्टवेयर, सेटिङ्स वा अनुमतिबाट मात्रै प्रयोग गर्न मिल्ने ईन्टरनेटको एउटा खण्ड, – डार्क वेब मा भए-नभएको पत्ता लगाउन प्रभावित ग्राहकहरुलाई एउटा सूचना सेवा प्रदायकको आईडी अनुगमन सेवा उपलब्ध गराईएको कम्पनीले जनाएको छ ।
क्याथे प्यासेफिकका प्रतिनिधीहरु वान चाईस्थित प्रहरी प्रधान कार्यालयमा बिहीबार गएर बयान दिएका छन् । यस अघि उनीहरुले बुधबार राती फोन मार्फत् प्रहरीलाई घटनाको सूचना दिएका थिए । पोस्टले बुझे अनुसार साईबार सेक्युरिटी एन्ड टेक्नोलोजी क्राईम ब्युरोका अधिकारीहरुले एयरलाईनको कार्यालय पुगेर त्यहाँको कम्प्युटर सर्भर जाँच्नेछन् ।
एयरलाईनको आईटी पूर्वाधार सम्बन्धि ज्ञान भएका श्रोतहरुले यो कम्पनीको कमजोर कडी भएको बताए । कुनै जटिल आक्रमणभन्दा, एउटा सानो त्रुटीले नै थाहा नपाईकन सूचना चुहिएको हुनसक्ने अर्का श्रोतले बताए ।
आईटी विभागले चिफ कस्टमर एन्ड कमर्सियल अफिसर लूलाई जवाफ दिनुपर्दछ । सन् २०१६ को मध्यतिर कम्पनीले तत्कालीन आईटी निर्देशक जो लोक्यान्ड्रोलाई हटाएपछि कम्पनीभित्रका उदाउँदा तारा लूले विभागको जिम्मेवारी सम्हाल्दै आएका छन् ।
दैनिक कामकारवाही – आईटी सोल्युसन्सका लरेन्स फोङ र आईटी ईन्फ्रास्ट्रक्चर एन्ड अपरेसन्सका प्रमुख केरी पियर्स – दुई महाप्रबन्धकले हेर्दछन् । उनीहरुले साईबरसुरक्षाको भिन्न जिम्मेवारी सम्हाल्छन् ।
सन् २०१६ मा पोस्टसँग कुरा गर्दै, तत्कालीन चिफ अपरेटिङ अफिसर रुपर्ट होगले क्याथे प्यासेफिकजस्तो पुरानो एयरलाईनमा प्रविधी व्यवस्थापन गर्ने चुनौतीबारे बताएका थिए ।
“पुरानो प्रणाली धेरै हुनु ७० वर्ष पुरानो हुनुको एउटा चुनौती हो, र ती प्रणालीहरु कसैले पनि नबुझ्ने भाषामा लेखिएका छन्, र त्यसमाथि नयाँ एप र एप्लिकेसनको थाक लगाईए, व्यवस्थापन गर्न झन् कठिन हुनेछ,” उनले भने ।
मलेसिया एयरलाईनको जिम्मेवारी सम्हालिसकेका एयरलाईन लोयल्टी डाटा विज्ञ मार्क रोस-स्मिथले चोरी गरिएको सूचनाको आधारमा, ह्याकरहरुले उडानहरु परिवर्तन गर्न सक्ने, नि:शुल्क उडान र होटेलका लागि एयर माईलको चोरी गर्नलाई – बलपूर्वक वा फिशिङ अट्याक मार्फत् – कुनै यात्रुको लाभदायक फ्रिक्वेन्ट फ्लायर अकाउन्ट पनि ह्याक गर्न सक्ने बताए ।
यात्रुहरु जटिल प्रकारको फिशिङ अट्याकको पनि जोखिममा पर्नसक्छन् । यस्तो आक्रमणले प्रयोगकर्तालाई वास्तवमा एयरलाईनले नै ईमेल पठाईरहेको भान पर्न सक्छ ।
“यो यात्रुवर्गका लागि भयावह परिस्थिती हो किनभने उनीहरुको सूचना कहाँ गयो, कसको नियन्त्रणमा छ, र भविष्यमा यसले उनीहरुलाई कसरी प्रभाव पार्छ भन्ने अज्ञात छ,” रोस-स्मिथले भने ।
“व्यक्तिगत रुपमा, यदि म प्रभावित प्रयोगकर्ता भएको भए, म क्थाथेको ईमेललाई विश्वास गर्दिन थिएँ । तो सूचना कहाँ जान्छ वा डार्क वेबमा बिक्री हुन्छ भनेर कसलाई के थाहा ?”
हङकङ ईन्फोर्मेसन टेक्नोलोजी फेडेरेसनका काउन्सिलर एरिक फान किन-मानले क्याथे प्यासेफिकले ‘डाटा ब्रीचʼ बारे समयमै बताउन नसक्नुको कारण बुझ्नै नसकेको बताए । यसले ग्राहकलाई अझ उच्च जोखिममा पुर्याएको उनको दाबी छ । क्याथे प्यासेफिक र सम्बन्धित सेवाका वेबसाईटमा प्रयोग गरिएका क्रेडिट कार्ड रद्द गर्ने, एयरलाईनको प्लेटफर्ममा प्रयोग गरिएका सम्पूर्ण पासवर्ड परिवर्तन गर्ने र आफु प्रभावित भए-नभएको थाहा पाउन सोधपुछ गर्नेजस्ता सुरक्षाका उपायहरु अवलम्बन गर्न उनले सुझाव दिएका छन् ।
प्रोग्रेसिभ लयर्स ग्रुपका संयोजक ब्यारिस्टर चोय कीले सूचनाको चुहावटका कारण कुनै ग्राहकले आर्थिक घाटा बेहोर्नुपरे, उनीहरुले प्रहरीलाई जानकारी गराउनुपर्ने र प्राईभेसी कमिशनरको कार्यालयमा उजुरी दिनुपर्ने बताए । प्रभावितहरुले क्षति पुष्टि गर्न सके, एयरलाईनसँग क्षतिपूर्ति दाबी गर्नसकिने पनि उनले बताएका छन् ।
‘डाटा ब्रीचʼ भएको उजुरी गर्नुपर्ने हङकङमा कुनै वैधानिक आवश्यकता नभए पनि, सूचना चोरी भएको पत्ता लागेपछि प्रभावित यात्रुहरुलाई यथाशिघ्र जानकारी नगराएर क्याथे प्यासेफिकले नैतिक जिम्मेवारी पूरा नगरेको प्राईभेसी कमिशनर वोङले बताए । वोङका अनुसार शंकास्पद गतिविधी पत्ता लाग्ने बित्तिकै कम्पनीलै सूचित गराउनुपर्थ्यो ।
युरोपेली संघको नयाँ जेनरल डाटा प्रोटेक्सन रेगुलेसन अनुसार यस्ता घटनाबारे ७२ घण्टाभित्र सूचित गराउनुपर्दछ, तर हङकङमा यस्तो कार्य स्वेच्छिक भएको वोङले बताए । विद्यमान कानुनमा संशोधन गर्नेबारे विचार भईरहेको भए पनि, त्यसका लागि अझै धेरै समय लाग्ने उनले बताए ।
युरोपेली संघको कानुन अन्तर्गत, सूचना चोरी वा चुहावट भएका घटना समयमै जानकारी नगराउने कम्पनीहरुलाई उनीहरुको वार्षिक आम्दानीको ४ प्रतिशतसम्म जरिवाना गराउन सकिन्छ ।